Кіберзлочинці не чекають, поки компанії виправлять вразливість. Напад, як правило, швидко закінчується, і тоді його можна очікувати. Рекомендується керувати виправленнями на основі ризику, щоб фактор часу втратив частину ваги.
З моменту публікації вразливості розробка робочого експлойта займає в середньому лише 22 дні. Однак для компанії потрібно в середньому від 100 до 120 днів, поки доступний патч буде реалізовано. Однією з причин цієї невідповідності є те, що компанії довгий час були безсилі проти величезної кількості нових вразливостей.
Уразливості: експлойт буде доступний через 22 дні
NVD (Національна база даних про вразливості) нарахувала майже 22.000 2021 нових уразливостей у 10 році, що на 20% більше, ніж у попередньому році, і, можливо, на 2022% менше, ніж у XNUMX році. Орієнтоване на відповідність управління виправленнями більше не встигає за цим темпом. Однак управління виправленнями на основі ризиків пропонує принципово інший підхід. Основна ідея: замість того, щоб намагатися (марно) усунути всі слабкі місця, спочатку розглядаються прогалини в безпеці, які також становлять реальний ризик для окремої компанії.
Те, що звучить як трюїзм, ставить перед ІТ-організаціями дуже особливі проблеми, коли справа доходить до впровадження. Використовуючи 5 найкращих методів, постачальник послуг безпеки Ivanti показує, як їх можна вирішити та перевести на підвищення безпеки:
1: Подивіться ситуацію
Ви не можете захистити те, чого не знаєте. Тому управління виправленнями на основі ризиків завжди починається з інвентаризації. Які ресурси є в корпоративній мережі? Які профілі кінцевих користувачів використовують ці ресурси? До пандемії корони управління активами було набагато менш складним, достатньо було ретельно оглянути офіс: на «повсюдному робочому місці» це навряд чи можливо. Управління виправленнями на основі ризиків працює в цій новій ситуації, лише якщо всі активи можна виявити, призначити, захистити та підтримувати в будь-якому місці, навіть якщо вони офлайн.
2: Залучайте всіх з одного боку
Сьогодні в багатьох організаціях одна команда відповідає за сканування вразливостей і тестування пера, команда безпеки відповідає за встановлення пріоритетів, а ІТ-команда відповідає за виконання заходів щодо виправлення. Як наслідок, іноді існують серйозні прогалини між знаннями, отриманими від системи безпеки, і заходами, які вживає ІТ.
Керування виправленнями на основі ризиків створює зв’язок між відділами. Це передбачає, що зовнішні загрози та внутрішні середовища безпеки розглядаються разом. Основою є аналіз ризиків, який можуть прийняти обидва відділи. Це відкриває можливість команді безпеки визначати пріоритет лише для найбільш критичних уразливостей. Колеги з IT-операцій, у свою чергу, можуть зосередитися на важливих виправленнях у потрібний час. Таким чином, управління виправленнями на основі оцінки ризику дає кожному більше простору.
3. Підтримуйте керування виправленнями за допомогою SLA
Одна річ полягає в тому, що групи безпеки та ІТ-операції повинні працювати разом, щоб розробити рішення для керування виправленнями на основі ризиків. Інша справа – надати їм можливості та мотивувати. Угода про рівень обслуговування (SLA) для керування виправленнями між ІТ-операціями та ІТ-безпекою кладе кінець туди й назад шляхом стандартизації процесів керування виправленнями. У ньому встановлюються цілі відділу та підприємства щодо керування виправленнями, встановлюються найкращі практики та процеси, а також встановлюються дати обслуговування, які можуть прийняти всі зацікавлені сторони.
4: Організуйте керування виправленнями з пілотними групами
Правильно виконана стратегія керування виправленнями на основі оцінки ризиків дає змогу командам ІТ-операцій і безпеки працювати швидко, виявляти критичні вразливості в реальному часі та виправляти їх якомога швидше. Незважаючи на всю любов до швидкості, наступне залишається актуальним: поспішне виправлення несе ризик збою критичного для бізнесу програмного забезпечення або виникнення інших проблем.
Тому пілотні групи з якомога різноманітніших компаній повинні перевірити виправлення вразливостей у реальному середовищі, перш ніж вони будуть повністю розгорнуті. Якщо пілотна група виявляє помилку, її можна виправити з мінімальним впливом на бізнес. Пілотні групи повинні бути створені та навчені заздалегідь, щоб цей процес не перешкоджав просуванню виправлень.
5: Використовуйте автоматизацію
Метою управління виправленнями на основі оцінки ризиків є ефективне та результативне усунення вразливостей, одночасно зменшуючи навантаження на персонал. Це особливо вірно, враховуючи низький рівень ІТ-персоналу в багатьох компаніях. Автоматизація значно прискорює керування виправленнями на основі оцінки ризиків шляхом аналізу, контекстуалізації та визначення пріоритетів уразливостей XNUMX/XNUMX — із необхідною швидкістю. Подібним чином автоматизоване керування виправленнями також може сегментувати розгортання виправлень, щоб перевірити ефективність і вплив на подальшу течію, а також доповнити роботу пілотних груп.
Неправильна мета: кількість встановлених патчів
Якщо раніше управління кіберризиками в першу чергу зводилося до кількості встановлених патчів, зараз цей підхід застарів. Здатність автоматично визначати, пріоритезувати та навіть усувати вразливості, не вимагаючи надмірного ручного втручання, є ключовою перевагою в сучасному ландшафті кібербезпеки.
Рішення для інтелектуального керування загрозами та вразливістю (TVM) також має забезпечувати можливість відображення результатів, зрозумілих для ІТ-команд і відділів безпеки аж до правління компанії. Оцінка кібербезпеки, у свою чергу, дозволяє виміряти ефективність підходу організації, заснованого на оцінці ризиків. Це спрощує планування та усуває потребу в показниках, заснованих виключно на діяльності, для усунення вразливостей.
Більше на Sophos.com